Технологии

Система защиты платежей с применением платежных карточек в сети Интернет

В настоящее время клиенты Системы Интернет-коммерции (СИК) имеют возможность выбора среди нескольких способов проведения платежа за оформленный заказ. Традиционно можно получить автоматически выписанную счет-фактуру и оплатить ее обычным банковским или почтовым переводом. Однако существует несколько способов проведения электронного платежа с использованием дебетных карточек разнообразных платежных систем либо непосредственно управляя своим счетом в банке через Интернет. Каждая платежная компонента обладает многоуровневой системой защиты платежных транзакций.

Процесс внедрения карточной платежной компоненты СИК прошел несколько этапов, на которых совместно с банком и процессинговым центром вырабатывались принципы отношений между участниками СИК, разделение прав и обязанностей, а также вырабатывалась и усиливалась система защиты платежных транзакций, проходящих в СИК. Здесь мы говорим о платежах в рамках украинского сегмента международных платежных систем VISA и MasterCard. Поэтому мы неизбежно следуем мировым тенденциям развития систем защиты в этой области, в частности, методов и алгоритмов шифрования и аутентификации.

На рисунке, приведенном ниже, Вы можете проследить пошагово подготовительные действия клиента и сам процесс инициации им и обработки платежной транзакции в Интернет-магазине СИК.

bank.jpg (12295 bytes)

Последовательность операций проведения оплаты пластиковой карточкой в СИК с применением средств криптографической защиты

Регистрация клиента банком-эмитентом карточки

ШАГ 1: Клиент обращается в банк лично, предъявляет документы и запрашивает регистрацию для проведения платежей в СИК.

ШАГ 2:   

2.1 Банк с помощью програмно-аппаратного комплекса регистрации производит регистрацию клиента-плательщика СИК и его карточки и записывает на дискету или чип-карту средства криптографической защиты платежей клиента, включая открытый/закрытый ключи подписи.

2.2 Банк и владелец карточки заключают договор, в котором клиент обязуется не отвергать транзакции, подписанные его цифровой подписью.

ШАГ 3: Банк передает в платежный шлюз процессингового центра платежной системы информацию о зарегистрированных клиентах.

ШАГ 4: Платежный шлюз передает торговому серверу информацию о зарегистрированных клиентах-плательщиках СИК.

По завершении этих операций клиенты могут совершать покупки в интернет-магазинах СИК.

Операции при совершении покупки владельцем карточки, получившим в банке ПО клиента

ШАГ 5: Владелец карточки выбирает товары и оформляет заказ на торговом сервере СИК.

После выбора клиентом способа оплаты карточкой включается в работу программное обеспечение клиента ПОК. Торговый сервер формирует сообщение, содержащее информацию о заказе, формирует цифровую подпись при помощи секретного (закрытого) ключа подписи, принадлежащего торговцу. Данное сообщение вместе с подписью сохраняется на торговом сервере, а также передается клиенту.

Клиент проверяет данные и подтверждает готовность оплатить заказ своей карточкой.

ПО клиента зашифровывает, формирует цифровую электронную подпись и передает транзакцию на торговый сервер.

Информация о заказе содержит:

  • Дату
  • Номер заказа
  • Ф.И.О. клиента
  • ID карточки
  • Содержание заказа

Платежное поручение содержит:

  • Дату
  • Номер торговца на торговом сервере
  • Ф.И.О. клиента
  • ID карточки
  • Сумму заказа

ШАГ 6:

6.1 ПО торгового сервера расшифровывает сообщение от клиента проверяет совпадение ФИО заказа и ФИО в базе данных ключей. При удачном результате проверяет не авторизован ли уже данный заказ и формирует запрос на авторизацию, предназначенный для платежного шлюза процессингового центра. Сформированные ПО торгового сервера данные, предназначенные для платежного шлюза процессингового центра, объединяются с сообщением клиента, содержащим платежное поручение, и передаются платежному шлюзу процессингового центра в зашифрованном виде.
При отрицательном результате проверок торговый сервер предлагает клиенту заново ввести данные карточки.

6.2 Платежный шлюз получает транзакцию с платежным поручением клиента.
Сообщение расшифровывается. В случае успешного результата проверки подписи, данные сохраняются и проводится авторизация. Результаты авторизации подписываются с помощью секретного ключа подписи платежного шлюза, шифруются и оба сообщения передаются торговому серверу.

ШАГ 7: ПО торговца передает клиенту сообщение, предназначенное для клиента. Свое сообщение обрабатывает по описанной выше технологии.

Если транзакция была авторизована, ПО торговца принимает заказ к исполнению и уведомляет о результате ПО клиента.

ШАГ 8: Торговец совершает отгрузку заказа клиенту. Получает документы, подтверждающие получение заказа.

ШАГ 9: Торговец сообщает об отгрузке товара торговому серверу. Торговый сервер посылает в платежный шлюз зашифровывает запрос на разгрузку транзакции.

ШАГ 10: Платежный шлюз производит разгрузку транзакции через процессинговый центр с применением криптографической защиты платежной транзакции.

ШАГ 11: Оплата данного заказа со счета клиента в пользу торговца через банковскую систему.

О безопасности этих шагов...

Система защиты платежей по карточкам в СИК объединяет в себе как организационные меры так и технические и программные средства криптографической защиты информации.

Среди организационных мер – обязательная централизованная регистрация клиентов-владельцев карточек и торговцев, принимающих платежи по карточкам в СИК. Как обычно для международных платежных систем, деньги клиента только блокируются при успешном прохождении авторизации, а снимаются с его счета только после получения им заказа.

Любая платежная операция в СИК предваряется взаимной аутентификацией контрагентов.

Применяются механизмы защиты интересов клиента – владельца карточки от просмотра данных его платежа во время прохождения платежной транзакции через Интернет. В частности, номер карточки не передается по каналам связи. Кроме того, номер карточки никогда не становится известным торговцу, а банку не становится известно содержание заказа, подлежащего оплате.

Для защиты интересов банка клиент подписывает специальное соглашение, по которому он обязуется не отвергать транзакции, подписанные его электронной подписью.

Для защиты интересов продавца клиент должен подписать квитанцию о получении заказа на его имя. К тому же, он может оплатить своей карточкой только тот заказ, который был оформлен на свое имя.

При регистрации владелец платежной карточки получает в банке дискету или, по желанию, чип-карту. На дискете находится программная компонента шифрации сообщений и наложения электронной подписи. Ключи подписи также могут храниться на дискете. Для большей надежности с целью предотвращения случайного или умышленного копирования мы рекомендуем использовать для хранения ключей чип-карту.

Для шифрации передаваемых сообщений применяются алгоритмы симметричного шифрования с использованием случайных параметров, полученных с физических генераторов случайных чисел.

Ключи подписи и другие идентификаторы клиента также получены с применением физических генераторов случайных чисел. Электронная подпись формируется как результат работы асимметричного алгоритма шифрования на публичных и личных ключах длиной 512б. Параметр длины ключа является изменяемым и может быть увеличен.

Каждая платежная транзакция защищена двойной цифровой подписью и зашифрована сессионными ключами.

На пятой международной межбанковской конференции «Банковские системы и сети» участникам конференции были выданы карты Национальной Системы Массовых Электронных Платежей (НСМЭП), которыми они в реальном режиме могли осуществить платежи в Системе Интернет-коммерции. Там же INT представил новый программный продукт «БЭР-3», адаптированный к условиям НСМЭП. Ранее INT уже внедрил ряд крупных проектов безналичных расчетов населения. Выступая в качестве системного интегратора, INT внедрил систему безналичных расчетов с помощью смарт-карт для ПО «Чернобыльская АЭС» и жителей г. Славутича — 1995г., выполнил в рамках пилотного проекта «Национальной системы массовых электронных платежей» запуск электронной платежной системы АКБ «Надра» — 1996г, реализовал аналогичный проект в г.Кривой Рог для криворожского филиала КБ «Приватбанк» — 1997г. В рамках новой версии «БЭР-3» представлен ряд новых решений по обеспечению деятельности регионального процессингового центра, а также новые версии «Бэк-офиса» Банка и учреждений торговли.

Эти платежные инструменты также в ближайшее время будут приниматься в Системе Интернет-Коммерции СИК.

Еще раз подчеркнем, что проведение финансовых операций в сети общего пользования такой как Интернет потенциально подвержено несанкционированному вмешательству. Поэтому INT серьезно занят созданием адекватных подсистем защиты платежной и другой информации. В наши цели входит:

  1. Обеспечить конфиденциальность информации о платеже, а также информации о заказах, поступающей вместе с платежом.
  2. Гарантировать целостность всей передаваемой информации.
  3. Обеспечить подлинность личности владельца карточки — официального пользователя карточки данного типа с соответствующим счетом.
  4. Обеспечить подлинность торговца, имеющего право работать с данным типом карточек.
  5. Применить технологию безопасности и системную методологию для гарантированной защиты сторон – участников Интернет коммерции, работающих в нормативно-правовом поле Украины.
  6. Создать протокол, не зависящий от механизмов защиты на транспортном уровне и, в то же время, не препятствующий их применению.
  7. Обеспечить открытость и масштабируемость системы в целом.

Возврат